ラックは、同社が運営する大規模な標的型攻撃事案への緊急対応サービス「サイバー119」の対応強化を目指した「インシデント対応ツール(仮)」のプロトタイプを完成させた。標的型攻撃の脅威にさらされた組織の端末情報を収集、解析するためのもので、同社の研究開発部門であるサイバー・グリッド・ジャパンが中心となって開発を進めてきた。9月1日に発表した。
サイバー119は、年間350件を超える緊急対応を通じ、標的型攻撃を受けた多くの組織には遠隔操作ウイルスのような高度に作り込まれた不正なソフトウェアが仕込まれてしまい、攻撃の被害は企業ネットワークの深部にまで及んでいることを確認しているという。
攻撃者は、狙い定めた企業への侵入に一度成功すると、攻撃の痕跡を隠蔽しながら、内部での感染拡大や情報収集、情報持ち出しなどの活動を継続しており、場合によってはグループ関係組織や取引先にまで攻撃が波及することも確認されている。
このような高度な攻撃を受けた場合、インターネットとの境界で不審な外部通信を監視することに加えて、組織内の端末から必要な情報を収集した上で総合的に解析し、脅威の発見とその対処、原因調査、被害拡大の防止を行うことが求められる。
しかし、実際の緊急対応では、ほとんどの組織で端末の情報を収集できる仕組みが導入されていないため、脅威の発見が遅れて事案の収束に時間がかかるケースが多いという。
そこでラックは、このような大規模な標的型攻撃事案への緊急対応を強化すべく、蓄積してきた経験を活用した新たな端末情報収集解析ツールとしてインシデント対応ツールの開発に着手し、今回その基本的な機能部分の実装を完了した。今後はいくつかの組織で検証して機能改善を図る方針で、2016年末をめどに緊急対応現場での本格的な活用を開始し、より迅速かつ的確な事案対応を実現していくと説明している。ツールの特徴は以下の通り。
要件 | 説明 |
---|---|
自動実行プログラムの精査 | OS起動時など自動的に起動されるプログラムの状況をフォレンジック調査の観点で深く分析できるようにする。ウイルスと侵入されたPCを迅速かつ正確に特定、事実も解明できると説明。過去のインシデント対応で得た知見を活用して痕跡チェックや脅威検知を迅速に実現できるようにする |
検知後の調査分析 | 組織全体の包括的な分析をベースとし、特定のPCで発見した不正な事象の精査からそのPC以外の影響範囲や脅威の関連性について一連での分析ができるようにする。ログを受け取った後でも被害組織から追加でログが届くことを想定し、分析できるようにする |
被害組織の環境にあわせたログ取得 | ログ取得では、被害組織の負担をできるだけ少なくする。それにより、システム環境や突発的な事情によるログ取得漏れの状況を極力なくす仕組みにする |
複数PCを対象にしたタイムライン解析 | ウイルス感染後の組織内の横断的侵害について、手口の解明を従来よりもスムーズにするため、フォレンジック調査の肝とも言えるタイムライン解析を単体PCだけでなく、複数台も対象にして追跡調査できるようにする |
ツールの開発背景や概要については、サイバー・グリッド・ジャパンが発行する情報誌「CYBER GRID JOURNAL Vol.1」で取り上げられている。
同誌では、経営層やマネジメント層の方をはじめ、これまでサイバーセキュリティなどの情報にあまり触れる機会のなかった層を対象に、その時々のセキュリティやIT関連の話題を提供するほか、最先端の課題に取り組む研究者の技術的知見や情報モラルに関する啓発活動の取り組みなど、幅広い情報をできるだけわかりやすく発信していくとしている。
創刊号では「伊勢志摩サミットとサイバーセキュリティ」を特集。5月下旬に三重県で開催された主要国首脳会議(伊勢志摩サミット)で「サイバー」についても議論が交わされたが、ビッグイベント開催を契機にサイバー空間を取り巻く状況の変化を振り返り、概説した上で公開されている日本のセキュリティ政策を読み解き、組織が備えるべき対策の方向性を提言している。